半導(dǎo)體晶圓廠的安全防護之道

（本文編譯自Electronic Design）

近幾年，針對大型晶圓廠的網(wǎng)絡(luò)攻擊時間層出不窮。

半導(dǎo)體晶圓廠又是全球科技供應(yīng)鏈的核心支柱，隨著這類設(shè)施被納入關(guān)鍵基礎(chǔ)設(shè)施范疇，其也成為網(wǎng)絡(luò)威脅的主要目標(biāo)。對于芯片制造商而言，保障生產(chǎn)持續(xù)運行的重要性不言而喻。

大型晶圓廠的生產(chǎn)中斷每小時會造成數(shù)百萬美元損失，任何生產(chǎn)故障都可能引發(fā)全球性的連鎖反應(yīng)。如今，芯片及其制造晶圓廠又成為地緣政治競爭的焦點，這讓局面變得愈發(fā)復(fù)雜。

為應(yīng)對此類風(fēng)險，芯片行業(yè)正重新審視晶圓廠的安全防護策略。行業(yè)組織與各國政府正搭建相關(guān)框架，助力保障晶圓廠工業(yè)控制系統(tǒng)的安全。這類系統(tǒng)是監(jiān)測并管控芯片制造流程的核心設(shè)備。

2023年末，國際半導(dǎo)體產(chǎn)業(yè)協(xié)會（SEMI）發(fā)布了對應(yīng)的實施藍圖：《半導(dǎo)體制造環(huán)境網(wǎng)絡(luò)安全參考架構(gòu)（1.0版）》，明確了芯片企業(yè)如何將“零信任”和“縱深防御”原則直接應(yīng)用于生產(chǎn)運營。

在此基礎(chǔ)上，日本經(jīng)濟產(chǎn)業(yè)省于2025年10月發(fā)布了《半導(dǎo)體器件工廠工業(yè)控制系統(tǒng)安全指南（1.0版）》。該指南參考了SEMI的上述架構(gòu)，同時與國際半導(dǎo)體產(chǎn)業(yè)協(xié)會E187/E188標(biāo)準(zhǔn)、美國國家標(biāo)準(zhǔn)與技術(shù)研究院網(wǎng)絡(luò)安全框架2.0版保持一致。日本經(jīng)濟產(chǎn)業(yè)省表示，該安全指南未來或納入投資扶持政策的硬性要求，以此為晶圓廠落實合規(guī)要求提供財務(wù)層面的激勵。

企業(yè)當(dāng)前可在晶圓廠落地多項切實可行的解決方案——可將其稱為“安全支柱”，借此順應(yīng)這一全球安全防護趨勢，保障廠區(qū)生產(chǎn)安全。這些方案包括網(wǎng)絡(luò)微分段、老舊設(shè)備防護以及特權(quán)訪問管控等。

晶圓廠生產(chǎn)區(qū)為何需要專屬的安全防護方案

半導(dǎo)體晶圓廠的運營環(huán)境具有獨特性，對持續(xù)運行和精密操作有著嚴(yán)苛要求。安全防護措施的設(shè)計必須兼顧核心資產(chǎn)保護與高產(chǎn)量敏感生產(chǎn)流程的無縫運轉(zhuǎn)，不可造成任何干擾。

廠內(nèi)諸多設(shè)備常年不間斷全天候運行，其搭載的操作系統(tǒng)往往早已不再獲得廠商的補丁更新。與此同時，工廠的自動化生產(chǎn)體系要求數(shù)千個終端設(shè)備實現(xiàn)無縫互聯(lián)，這其中既包括光刻設(shè)備，也涵蓋物料搬運系統(tǒng)。

這樣的運營環(huán)境形成了一個龐大的攻擊面，其特征為網(wǎng)絡(luò)架構(gòu)復(fù)雜、老舊資產(chǎn)缺乏防護、廠商賬戶處于無管控狀態(tài)。其他行業(yè)曾發(fā)生的安全事件（例如挪威水電集團和JBS肉類加工企業(yè)遭遇的勒索軟件攻擊）足以說明，生產(chǎn)運營中斷會帶來難以挽回的經(jīng)濟損失和聲譽損害。而對于晶圓廠而言，每一批晶圓都承載著無可替代的知識產(chǎn)權(quán)，其所面臨的風(fēng)險更是呈指數(shù)級攀升。

第一大安全支柱：網(wǎng)絡(luò)微分段，遏制黑客攻擊范圍

工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)往往大范圍互聯(lián)互通，一旦單個資產(chǎn)遭入侵，攻擊者便能輕易在設(shè)備間橫向移動。網(wǎng)絡(luò)微分段則是一種強效應(yīng)對手段，它將整體網(wǎng)絡(luò)劃分為多個小型獨立安全區(qū)域，并對區(qū)域間的通信實施嚴(yán)格管控。

晶圓廠要實現(xiàn)微分段的有效落地，首先需為光刻、刻蝕、量測、自動化物料搬運系統(tǒng)（AMHS）、廠區(qū)監(jiān)控與控制系統(tǒng)等各工藝環(huán)節(jié)劃定安全區(qū)域，同時記錄所有經(jīng)批準(zhǔn)的數(shù)據(jù)流。其次，在區(qū)域邊界執(zhí)行默認(rèn)拒絕策略，僅允許通過驗證的協(xié)議與連接通行。在這些邊界部署虛擬補丁或入侵防御系統(tǒng)，還能攔截針對未打補丁設(shè)備的已知攻擊手段。

最后，借助硬件旁路與冗余連接構(gòu)建抗風(fēng)險能力，可確保設(shè)備維護或故障期間生產(chǎn)持續(xù)平穩(wěn)運行。實施這一系列措施后，不僅能提升生產(chǎn)穩(wěn)定性，還能大幅縮短安全事件的恢復(fù)時間。

第二大安全支柱：防護不可或缺的老舊設(shè)備

老舊系統(tǒng)往往是晶圓廠生產(chǎn)區(qū)中最敏感、最易受攻擊的資產(chǎn)。許多核心生產(chǎn)設(shè)備仍在運行Windows XP、Windows 2000系統(tǒng)，或是早已停止更新的專用控制器，但它們依舊是生產(chǎn)環(huán)節(jié)中不可或缺的關(guān)鍵部分。

由于這類設(shè)備無法進行補丁更新，防護工作必須聚焦于系統(tǒng)鎖定與訪問管控。晶圓廠可采用應(yīng)用程序白名單機制，確保僅有經(jīng)批準(zhǔn)的二進制文件和進程能夠運行。同時還需搭配終端加固措施，例如開啟寫保護、限制U盤及其他可移動存儲介質(zhì)的使用、阻止未授權(quán)的動態(tài)鏈接庫注入行為。

對于離線運行的設(shè)備，需通過受控的便攜式存儲介質(zhì)或本地控制臺進行更新操作，擺脫對云連接的依賴。

通過上述措施，晶圓廠無需開展成本高昂且會中斷生產(chǎn)的設(shè)備替換項目，就能保障核心老舊資產(chǎn)的安全與正常運行，同時大幅增加攻擊者將這類系統(tǒng)作為入侵入口的難度。

第三大安全支柱：嚴(yán)格管控晶圓廠的訪問權(quán)限

晶圓廠的核心設(shè)備維護工作依賴于遍布全球的設(shè)備供應(yīng)商與服務(wù)合作伙伴網(wǎng)絡(luò)。這類外部訪問雖屬必要，卻也帶來了安全風(fēng)險。不過，通過合理的管控措施，既能保障供應(yīng)商訪問的效率，也能確保其安全性。

關(guān)鍵在于將零信任原則應(yīng)用于所有供應(yīng)商賬戶。訪問權(quán)限需通過安全網(wǎng)關(guān)或跳板機進行管理，且僅授予限時、專用的訪問權(quán)限。

針對計劃性維護，晶圓廠可提供即時訪問權(quán)限，相關(guān)憑證會在維護窗口期結(jié)束后自動失效。為確保可追責(zé)，供應(yīng)商的所有操作會話均需被監(jiān)控并記錄，對每一項操作行為形成清晰、可審計的日志。

通過落實上述管控措施，晶圓廠既能為供應(yīng)商提供其所需的訪問權(quán)限，又能保持全程可視，同時確保各類權(quán)限不會被濫用。

第四大安全支柱：降低人為失誤與內(nèi)部威脅風(fēng)險

晶圓廠的日常運營操作，從通過U盤傳輸工藝配方到下載軟件更新，均為生產(chǎn)所需的關(guān)鍵環(huán)節(jié)。然而，這些常規(guī)的數(shù)據(jù)交換操作，即便由為達成生產(chǎn)目標(biāo)而盡心履職的員工執(zhí)行，也構(gòu)成了重大的威脅載體。每一次數(shù)據(jù)傳輸，都可能成為惡意軟件注入或高價值知識產(chǎn)權(quán)外泄的契機，讓無心之舉轉(zhuǎn)化為嚴(yán)重的安全風(fēng)險。

解決這一問題的關(guān)鍵，是為所有數(shù)據(jù)流轉(zhuǎn)建立嚴(yán)格、安全的傳輸通道。首先要對對外數(shù)據(jù)傳輸采取默認(rèn)拒絕策略，僅允許通過受控的加密通道，傳輸經(jīng)明確批準(zhǔn)的導(dǎo)出數(shù)據(jù)。對于仍廣泛用于離線設(shè)備或老舊設(shè)備更新的物理存儲介質(zhì)，晶圓廠必須對所有設(shè)備的輸入輸出接口進行加固，同時執(zhí)行嚴(yán)格的管控政策：所有可移動存儲介質(zhì)必須在專用終端完成掃描后，方可接入生產(chǎn)網(wǎng)絡(luò)使用。

同理，所有軟件更新均需通過安全網(wǎng)關(guān)進行管理，文件在進入工業(yè)控制系統(tǒng)環(huán)境前，需經(jīng)網(wǎng)關(guān)驗證其完整性。這些管控措施能夠有效保護知識產(chǎn)權(quán)，同時防止惡意軟件通過這類看似日常、常規(guī)的操作侵入晶圓廠。

為晶圓廠逐步構(gòu)建并持續(xù)完善安全防護體系

安全防護并非一次性投入，而是需要在晶圓廠的全生命周期中持續(xù)更新優(yōu)化。其中幾項核心實踐包括：

• 對所有新設(shè)備開展入駐前安全核查，包括惡意軟件掃描與補丁驗證，并出具核查報告。

• 在設(shè)備防火墻及系統(tǒng)集成節(jié)點強制配置默認(rèn)拒絕策略。

• 每周開展漏洞評估，維護實時資產(chǎn)清單，持續(xù)掌握安全防護態(tài)勢。

• 將工業(yè)控制系統(tǒng)（OT）安全遙測數(shù)據(jù)整合至企業(yè)安全信息和事件管理（SIEM）及擴展檢測與響應(yīng)（XDR）平臺，打造一體化的信息技術(shù)（IT）- 工業(yè)控制系統(tǒng)（OT）安全事件響應(yīng)能力。

歸根結(jié)底，晶圓廠的安全防護需要結(jié)合實際運營情況，制定適配工業(yè)控制系統(tǒng)的專屬策略。網(wǎng)絡(luò)微分段、老舊設(shè)備防護、供應(yīng)商訪問管控這幾大安全支柱，能夠構(gòu)建起具備抗風(fēng)險能力的安全防御體系。

晶圓廠通過采用國際半導(dǎo)體產(chǎn)業(yè)協(xié)會的網(wǎng)絡(luò)安全參考架構(gòu)、對標(biāo)日本經(jīng)濟產(chǎn)業(yè)省的全新安全指南，能夠緊跟不斷提升的行業(yè)標(biāo)準(zhǔn)、客戶期望與政府監(jiān)管要求。更重要的是，這能保障產(chǎn)線的平穩(wěn)持續(xù)運行。

在風(fēng)險高企的芯片制造領(lǐng)域，安全防護不僅是一門技術(shù)學(xué)科，更是實現(xiàn)生產(chǎn)安全、穩(wěn)定、持續(xù)高效運轉(zhuǎn)的基石。